我们知道,DevOps 不仅仅涉及开发和运维团队。而如果您想充分发挥出 DevOps 的敏捷性和响应力,就必须将IT 安全防护融入应用的整个生命周期中 。
为什么呢?从前,安全防护只是特定团队的责任,在开发的最后阶段才会介入。当开发周期长达数月、甚至数年时,这样做没什么问题;但是现在,这种做法现在已经行不通了。采用 DevOps 可以有效推进快速频繁的开发周期(有时全程只有数周或数天),但是过时的安全措施则可能会拖累整个流程,即使最高效的 DevOps 计划也可能会放慢速度。
如今,在 DevOps 协作框架下,安全防护是整个 IT 团队的共同责任,需要贯穿至整个生命周期的每一个环节。这个理念非常重要,因此催生出了“DevSecOps”一词,强调必须为 DevOps 计划打下扎实的安全基础。
DevSecOps 意味着从一开始就要考虑应用和基础架构的安全性;同时还要让某些安全网关实现自动化,以防止 DevOps 工作流程变慢。选择合适的工具来持续集成安全防护(比如在集成开发环境(IDE)中集成安全防护功能)有助于实现这些目标。但是高效的 DevOps 安防需要的不仅是新工具。它更需要整个公司实现 DevOps 文化变革,从而尽早集成安全团队的工作。
从 DevOps 到 DevSecOps 内置安全防护
无论您习惯叫它“DevOps”还是“DevSecOps”,最好确保安全防护融入了软件的整个生命周期中。DevSecOps 就是要内置安全防护,而不是仅仅在应用和数据层面做文章。如果把安全问题留到开发流程的最后再考虑,那么企业即便是采用了 DevOps 方法,也会重回冗长开发周期的老路,而这就是大家从一开始就想要避免的情况。
DevSecOps 强调,在 DevOps 计划刚启动时就要邀请安全团队来确保信息的安全性,并制定自动安全防护计划,实现持续 IT 防护。它还强调,要帮助开发人员从代码层面确保安全性;在这个过程中,安全团队需要针对已知的威胁共享掌握的全局信息、提供反馈并进行智能分析。由于 DevSecOps 并非始终着眼于较为传统的应用开发模式,所以这可能还包括为开发人员提供新的安全培训。
那么,怎样才算是真正地实现了安全防护一体化?对于新手而言,优良的 DevSecOps 策略应能确定风险承受能力并进行风险/收益分析。在一个特定的应用中,需要配备多少个安全控制功能?对于不同的应用,上市速度又有多重要?由于在管道中运行手动安全检查可能会非常耗时,所以自动执行重复任务是 DevSecOps 的关键所在。
DevOps 安全防护自动化
要推行 DevOps,企业需要:确保采用时间短、频率高的开发周期;采取安全措施,最大限度地缩短运维中断时间;及时应用创新技术,如容器和微服务;同时,还要促使以往各自为阵的团队加强合作——这一切对所有企业来说都是艰巨的任务。上述所有措施都是以人员为根本,都需要企业内部协同合作;但是,要想在 DevSecOps 框架中实现这些人员的变革,自动化是关键所在。
那么,企业应该在哪些方面实现自动化?具体又该怎么做呢?企业应该退后一步,以全局视角,着眼整个开发和运维环境。其中涉及:源控制存储库;容器注册表;持续集成和持续部署(CI/CD)管道;应用编程接口(API)的管理、编排和发布自动化;以及运维管理和监控。
全新的自动化技术已帮助企业应用了更敏捷的开发实践,也在促进新的安全措施方面起到了重要作用。但是,自动化并不是近年来 IT 领域发生的唯一变化。现在,对于大多数 DevOps 计划而言,容器和微服务等云原生技术也是一个非常重要的组成部分。所以,企业必须及时调整 DevOps 安全措施。
针对容器和微服务的 DevOps 安全防护
容器可以实现更大的规模和更灵活的基础架构,从而改变了许多组织开展业务的方式。因此,DevOps 的安全防护实践必须适应新环境并遵循容器特有的安全准则。云原生技术不适合用来落实静态安全策略和检查清单。相反,企业必须确保应用和基础架构生命周期的每个阶段都有集成其中的持续安全防护。
(图:针对环境和数据安全防护以及CI/CD流程安全防护)
DevSecOps 意味着,安全防护要贯穿应用开发的整个过程。要实现集成进管道,我们既需要一种全新的思维方式,也需要合适的新工具。因此,DevOps 团队应该实现安全防护自动化,从而保护整体环境和数据,同时实现持续集成/持续交付流程——可能还要确保容器中的微服务的安全。
*本文转载自红帽官网
好文章,需要你的鼓励
OpenAI在最新博客中首次承认,其AI安全防护在长时间对话中可能失效。该公司指出,相比短对话,长对话中的安全训练机制可能会退化,用户更容易通过改变措辞或分散话题来绕过检测。这一问题不仅影响OpenAI,也是所有大语言模型面临的技术挑战。目前OpenAI正在研究加强长对话中的安全防护措施。
北航团队推出VoxHammer技术,实现3D模型的精确局部编辑,如同3D版Photoshop。该方法直接在3D空间操作,通过逆向追踪和特征替换确保编辑精度,在保持未修改区域完全一致的同时实现高质量局部修改。研究还创建了Edit3D-Bench评估数据集,为3D编辑领域建立新标准,展现出在游戏开发、影视制作等领域的巨大应用潜力。
谷歌宣布计划到2026年底在弗吉尼亚州投资90亿美元,重点发展云计算和AI基础设施。投资包括在里士满南部切斯特菲尔德县建设新数据中心,扩建现有设施,并为当地居民提供教育和职业发展项目。弗吉尼亚州长表示这项投资是对该州AI经济领导地位的有力认可。此次投资是谷歌北美扩张战略的一部分。
宾夕法尼亚大学研究团队开发出PIXIE系统,这是首个能够仅通过视觉就快速准确预测三维物体完整物理属性的AI系统。该技术将传统需要数小时的物理参数预测缩短至2秒,准确率提升高达4.39倍,并能零样本泛化到真实场景。研究团队还构建了包含1624个标注物体的PIXIEVERSE数据集,为相关技术发展奠定了重要基础,在游戏开发、机器人控制等领域具有广阔应用前景。